Devin Finzer, el cofundador de OpenSea ha declarado vía Twitter que OpenSea se encuentra investigando un ataque de «pishing». Por medio de redes sociales el también CEO señaló lo siguiente: «Parece que 32 usuarios hasta ahora han firmado una carga maliciosa de un atacante, y algunos de sus NFT fueron robados».
El ataque se realiza a casi una semana de que OpenSea anunciara la actualización de su contrato inteligente, cuya finalidad es eliminar los listados inactivos de la plataforma. Es así que como parte de esta iniciativa, lo usuarios debían migrar sus listados de NFT al nuevo contrato inteligente. Ante la urgencia y el corto plazo abrieron una pequeña ventana de oportunidad para los piratas informáticos.
Tras investigaciones posteriores, se reveló que los atacantes usaron la «vieja maniobra» de usar correos electrónicos de pishing para robar los NFT, antes de que migraran al nuevo contrato inteligente de OpenSea. Fue así que una vez que el usuario autorizó la migración de NFT desde un correo electrónico fraudulento, los atacantes obtuvieron acceso a los NFT.
Por otro lado, Finzer aclaró que se han devuelto algunos de los NFT y que de momento no se ha visto más actividad maliciosa en la cuenta del atacante, de igual manera hizo énfasis al aclarar lo siguiente: «Es importante destacar que los rumores de que se trataba de un hack de 200 millones de dólares son falsos. El atacante tiene $ 1.7 millones en ETH en su billetera por vender algunos de los NFT robados.»
¿En qué consistió el ataque y qué es Wyvern?
Wyvern es el protocol que utiliza OpenSea para pujar, ofrecer, comprar y vender activos digitales. En este caso, por supuesto hablamos de tokens erc-721. El protocolo, se basa por excelencia en el «criptocomercio» descentralizado para ser así una manera de intercambiar activos virtuales de persona a persona.
Es así que en palabras simples, dos usuarios acuerdan un intercambio de manera automatizada. Siendo así que el oferente elidirá el modo de la venta que prefiera. Todo esto con la finalidad de que ambos usuarios acepten exactamente las mismas condiciones para el comercio.
Un ejemplo sería: Usuario A tiene dos tokens ERC1155 y los desea intercambiar por 4 ETH. El usuario B tiene 4 ETH que desea intercambia por esos dos tokens ERC1155. Con esto, el acuerdo se gestiona de manera automatizada en la cadena de bloques.
Una vez comprendido, el atacante hizo que las personas firmaran la mirad de una orden de wyvern válida mediante el correo electrónico. La orden estaba casi vacía excepto el objetivo (contrato del hacker). Con esto, el delincuente firmó la otra mitad de la orden a su propio contrato con datos de la llamada que incluyen el pedido válido y la dirección + datos de llamada de transferencia para todos los NFT que el objetivo ha aprobado en el contrato de wyvern (opensea).
